控制 Tableau Mobile 的身份验证和访问权限

支持的身份验证方法

Tableau Server

Tableau Mobile 支持以下 ableau Server 身份验证方法。

方法	Tableau Mobile 的注意事项
本地（基本）身份验证
Kerberos	仅限 iOS
SAML
NTLM
相互 SSL	需要 Tableau Server 版本 2019.4 或更高版本 仅适用于 Android 的代理支持 必须为 iOS 启用使用设备浏览器登录
OpenID Connect	需要 Tableau Server 版本 2019.4 或更高版本 必须启用使用设备浏览器登录

有关配置这些方法的信息，请参见适用于 Windows(Link opens in a new window) 和 Linux(Link opens in a new window) 的 Tableau Server 帮助。

Tableau Online

Tableau Mobile 支持 Tableau Online 的所有三种身份验证方法。

• 默认 Tableau 方法
• Google，通过 OpenID Connect（必须启用使用设备浏览器登录）
• SAML

有关配置这些方法的信息，请参见 Tableau Server 帮助中的身份验证(Link opens in a new window)。

使用设备浏览器进行身份验证

OpenID Connect（包括 Google）和相互 SSL 身份验证使用移动设备的浏览器（Safari、Chrome）进行。浏览器和 Tableau Mobile 之间的交换通过 Oauth 代码交换证明密钥(Link opens in a new window) (PKCE) 保护。

要进行此身份验证，您必须按照以下说明启用“使用设备浏览器登录”设置。此要求的一个例外是 Android 上的相互 SSL 身份验证，后者无需更改配置。

Tableau Server（版本 2019.4 或更高版本）

如果您使用 MDM 或 MAM 系统，请将 AppConfig 参数 RequireSignInWithDeviceBrowser 设置为 true。或者，Tableau Server 用户可以在其单独的设备上启用“使用设备浏览器登录”设置。AppConfig 参数将覆盖用户设置。

Tableau Online

将 AppConfig 参数 RequireSignInWithDeviceBrowser 设置为 true。若要设置 AppConfig 参数，您需要使用 MDM 或 MAM 系统部署应用软件。用户设置对 Tableau Online 没有影响，因此，如果您不使用 MDM 或 MAM 系统，您将无法允许 Google 身份验证。

暂时使用户保持登录状态

若要暂时使 Tableau Mobile 用户保持登状态录，请确保已为 Tableau Online 或 Tableau Server 启用连接的客户端。如果禁用此默认设置，则用户每次连接到服务器时都需要登录。

针对 Tableau Online 验证连接的客户端设置

1. 以管理员身份登录到 Tableau Online。
2. 选择“设置”，然后选择“身份验证”选项卡。
3. 在“连接的客户端”下面，注意“允许客户端自动连接到此 Tableau Online 站点”设置。

有关详细信息，请参见 Tableau Online 帮助中的从连接的客户端中访问站点。

针对 Tableau Server 验证连接的客户端设置

1. 以管理员身份登录到 Tableau Server。
2. 在站点菜单中，选择“管理所有站点”，然后选择“设置”>“常规”。
3. 在“连接的客户端”下，注意“允许客户端自动连接到 Tableau Server”设置。

有关详细信息，请参见 Tableau Server 帮助中的禁用自动客户端身份验证。

更改用户保持登录到 Tableau Server 的时间长度

未启用连接的客户端设置时，Tableau Mobile 上的会话长度由 Tableau Server 限制控制。启用连接的客户端设置后，只要令牌有效，Tableau Mobile 将使用 OAuth 令牌重新建立会话并保持用户登录。

更改连接客户端的令牌值

为了使用户保持登录，Tableau Mobile 会将一个刷新令牌发送到身份验证系统，后者随后会向移动设备提供新的访问令牌。您可以通过调整刷新令牌的设置来更改用户保持登录的时间长度。

在 Tableau 服务管理器的命令行界面中，设置以下选项：

refresh_token.idle_expiry_in_seconds

设置令牌在过期之前可处于未使用状态的秒数。默认值 1,209,600 秒相当于 14 天。输入值 -1 以使空闲令牌永远不会过期。

refresh_token.absolute_expiry_in_seconds

设置刷新令牌完全过期之前的秒数。默认值 31,536,000 相当于 365 天。输入值 -1 以使令牌永远不会过期。

refresh_token.max_count_per_user

设置可以为每个用户颁发的刷新令牌的最大数量。默认值为 24。输入值 -1 以完全移除令牌限制。

若要设置上述选项，请在命令行界面中使用以下语法：

tsm configuration set -k <config.key> -v <config_value>。

例如，若要将刷新令牌的数量限制为每名用户 5 个，您可以输入以下内容：

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

有关详细信息，请参见 Tableau Server 帮助中的 TSM configuration set 选项(Link opens in a new window)。

更改 Tableau Server 的会话限制

如果禁用连接的客户端，Tableau Server 的会话限制将确定 Tableau Mobile 上的会话长度。这些限制不会影响连接的客户端，因为只要令牌有效，刷新令牌就会重新建立会话。有关详细信息，请参见 Tableau Server 帮助中的验证会话生命周期配置。

在 Tableau 服务管理器的命令行界面中，设置以下选项：

wgserver.session.idle_limit

设置 Tableau 会话过期之前的分钟数，同样要求登录。默认值为 240。

启用应用软件锁定以增强安全性

长期存在的身份验证令牌允许用户保持登录状态，使用户能顺利地访问数据。但是，您可能担心 Tableau Mobile 中这种对数据的开放式访问。您可以启用应用软件锁定，为用户提供安全而简单的内容访问方式，而不是要求用户更频繁地登录。

Tableau Mobile 的应用软件锁定不会向 Tableau Server 或 Tableau Online 验证用户的身份;相反，它为已登录的用户提供了一层安全性。启用应用软件锁定后，用户必须使用他们为解锁设备而配置的安全方法打开应用。支持的生物识别方法包括面容 ID 或触摸 ID (iOS) 以及指纹、面容或虹膜 (Android)。支持的替代方法包括密码 (iOS) 和图案、pin 码或者密码 (Android)。

启用应用软件锁定之前

确保启用了 Tableau Server 或 Tableau Online 的“连接的客户端”设置。有关详细信息，请参见暂时使用户保持登录状态。 如果未启用此设置，则用户每次连接到 Tableau Server 或 Tableau Online 时都需要登录，因此无需应用软件锁定。

对于 Tableau Server，您可以通过调整刷新令牌的过期值来精确控制用户保持登录状态的时间。有关详细信息，请参见更改用户保持登录到 Tableau Server 的时间长度。应用软件锁定用于长期存在的令牌，例如使用默认过期值的令牌。

注意：如果您的 Tableau Server 安装使用反向代理服务器，请注意您的用户可能需要在解锁应用软件时登录。这是因为它们的反向代理令牌已过期，但其刷新令牌仍处于活动状态。

启用应用软件锁定设置

对于 Tableau Online

1. 以管理员身份登录到 Tableau Online。
2. 选择“设置”，然后选择“身份验证”选项卡。
3. 在“Tableau Mobile 的应用软件锁定”下，检查“启用应用软件锁定”设置。

对于 Tableau Server 版本 2019.4 及更高版本

1. 以管理员身份登录到 Tableau Server。
2. 导航到要为其启用应用软件锁定的站点。
3. 选择“设置”。
4. 在“Tableau Mobile”下，检查“启用应用软件锁定”设置。

对于 Tableau Server 版本 2019.3 及更低版本

用于启用应用软件锁定的设置不适用于 Tableau Server 版本 2019.3 及更低版本；不过，您仍可以使用 MDM 和 MAM 系统的 AppConfig 参数启用应用软件锁定。请参见AppConfig 参数中的“RequireAppLock”。

用户启用的应用软件锁定

用户还可以通过应用软件内的设置为其设备单独启用应用软件锁定。但是，如果管理员启用了应用软件锁定，则用户无法通过此设置将其禁用。

启用应用软件锁定后

启用应用软件锁定后，已登录用户在打开应用软件时需要将其解锁。如果用户尚未设置解锁其设备的方法，系统将提示他们执行此操作来解锁应用软件。

如果用户无法解锁应用软件，他们将可以选择重试或注销 Tableau。如果用户在使用生物识别方法进行了五次尝试后未能解锁应用软件，或者他们的设备未针对生物识别进行配置，则系统将提示他们使用密码等替代方法进行解锁。

使用密码解锁应用软件反复失败将导致用户无法访问整台设备，而不仅仅是应用软件。发生此情况之前的尝试次数取决于设备。解锁设备的进一步尝试会因时间的增加而延迟。

Tableau Mobile 单点登录

对于单点登录 (SSO) 身份验证，Tableau Mobile 支持为所有移动平台使用 SAML 和 OpenID Connect，并支持为 iOS 设备使用 Kerberos。

SAML

如果 Tableau Online 或 Tableau Server 配置为使用 SAML，则会将用户自动重定向到身份提供程序 (IdP) 以在 Tableau Mobile 内登录。您所要做的就只是这些 - SAML 不需要对移动设备进行任何特殊配置。但是，SAML 不会使用 SSO 将凭据传递至其他移动应用。

OpenID Connect

如果 Tableau Server 配置为使用 OpenID Connect 进行身份验证，或者如果 Tableau Online 配置为使用 Google（通过 OpenID Connect），则使用移动设备的浏览器通过外部标识提供 (IdP) 进行单一登录。若要启用使用浏览器的 SSO，请参见使用设备浏览器进行身份验证。

Kerberos（仅限 iOS 和 Tableau Server）

若要使用 Kerberos 身份验证，必须专门为您的组织配置设备。Kerberos 配置已经超出了本文档和 Tableau 支持的范围，但这里有一些第三方资源可帮助您开始进行操作。

• Sam 的 Tech Notes 博客上的 Kerberos Single Sign-on for iOS（适用于 iOS 上 Kerberos 单点登录）(Link opens in a new window)。

• SAP Community Network 上的 Mobile Single Sign On from iOS to SAP NetWeaver（通过移动单点登录从 iOS 登录到 SAP NetWeaver(Link opens in a new window)）

• iOS Developer Library 中的 Configuration Profile Key Reference（配置文件键首选项）(Link opens in a new window)

在设置配置文件时，您将需要用于访问 Tableau 服务器的 URL。对于 URLPrefixMatches 项，如果您决定显式列出 URL 字符串，请包括带有所有协议选项及适当端口号的 URL。

• 如果服务器使用 SSL，则 URL 应使用 https 协议和服务器的完全限定域名。其中一个 URL 还应指定端口 443。

  例如：https://fully.qualifed.domain.name:443/ 和 https://servername.fully.qualified.domain.name/

• 如果用户只通过指定本地服务器名称来访问 Tableau 服务器，则您还应该包括那些变化形式。

  例如，输入 http://servername/ 和 http://servername:80/

注意：注销不会清除设备上的 Kerberos 票证。如果存储的 Kerberos 票证仍然有效，则使用设备的任何人无需提供凭据就可以访问用户上次登录的服务器和站点。